校园网安全设计与研究

校园网安全设计与研究（精选12篇）

校园网安全设计与研究 篇1

随着校园网应用的不断发展, 网络应用的不断深入, 也使校园网面临着严重的风险。校园网的各种安全威胁在网络的运行和管理中表现得尤为突出, 针对校园网的安全问题, 构建完善的网络安全防护体系就显得尤为重要。

1. 高校校园网安全问题分析

1.1 来自硬件系统的安全威胁。

主要是由于网络硬件设备的放置不合适或者防范措施不得力, 使得服务器、光缆、双绞线等网络设备遭受意外事故或人为破坏而造成校园网不能正常使用。

1.2 来自校园网内部和安全威胁。

由于校园网内部用户数量众多, 且对内部网络的结构和运行模式都比较了解, 这部分人往往是为了逞能而故意攻击校园网, 因此来自内部的安全威胁更难应付。

1.3 来自校园网外部的安全威胁。

外来的系统入侵、攻击等恶意破坏行为, 有些计算机已经被攻破, 用作黑客攻击的工具;拒绝服务攻击目前越来越普遍, 不少开始针对高校的网站和服务器。

1.4 系统软件存在的安全问题。

目前操作系统存在各种漏洞、后门, 如不及时发现对操作系统进行及时更新各种漏洞, 就会被攻击者通过扫描或其它方式所利用, 成为黑客攻击的首选目标, 对网络安全构成严重威胁。

1.5 网络病毒的泛滥、攻击与入侵。

网络病毒具有感染速度快、扩散面广、破坏性大、难以彻底清除的特点, 它通过操作系统的漏洞在局域网的传传播, 在短时间内就可以使校园网内部大量电脑中毒, 使得校园网瘫痪。因此, 防止网络遭受病毒的侵袭, 成为校园网络迫切需要解决的问题。

1.6 管理方面存在的问题。

近年来, 随着高校扩招, 校园网的用户数量也在不断扩大, 少则数千人、多则数万人。校园网接入用户数直线上升, 同时多媒体教学和网络视频应用的推广和普及、对网络信息交换速度和性能提出了更高的要求。

2. 校园网安全体系设计

2.1 网络安全体系结构设计

网络安全系统的构建实际上是入侵者与反入侵者之间的持久的对抗过程。网络安全体系不是一劳永逸地能够防范任何攻击的完美系统, 这样的系统是不存在的。人们力图建立的是一个网络安全的动态防护体系, 是动态加静态的防御, 是被动加主动的防御甚至抗击, 是管理加技术的完整安全观念。

2.2 网络安全策略

2.2.1 访问控制

访问控制主要是保障网络资源不被非法占用和非法访问。用户的入网访问控制通常有用户名和口令的识别与验证、用户帐户的缺省限制检查等。任何用户进入网络后, 网络系统就赋予该用户一定的访问权限, 用户只能在其权限限制内进行操作。

2.2.2 内部网不同网络安全域的隔离

VLAN虚拟局域网, 是一种通过将局域网内的设备逻辑地划分成一个个网段, 从而实现虚拟工作组的新兴技术。采用交换式局域网技术的校园网, 可以用VLAN技术来加强内部网络管理。VLAN技术的核心是网络分段, 根据不同的应用业务以及不同的安全级别, 将网络分段并进进隔离, 实现相互间的访问控制, 可以达到限制用户非法访问的目的。

2.2.3 网络安全检测

入侵检测帮助系统对付网络攻击, 扩展了系统管理员的安全管理能力, 提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息, 并分析这些信息, 被认为是防火墙之后的第二道安全闸门, 在不影响网络性能的情况下能对网络进行监测。在校园网络中采用入侵检测技术, 最好采用混合入侵检测, 在网络中同时采用基于网络和基于主机的入侵检测系统, 则会构架成一套完整立体的主动防御体系。

2.2.4 网络病毒防范

在网络环境下, 病毒传播扩散快, 仅用单机防病毒产品已经很难彻底清除网络病毒, 必须有适合于校园网的全方位防病毒软件。。

2.2.5 备份系统

为防止不能预料的系统故障, 必须对系统进行安全备份。同时还应该将一些非常重要的文件存放在不同的服务器上, 以便在出现系统崩溃时, 可及时地将系统恢复到正常状态。

2.2.6 安全管理

常言说:“三分技术, 七分管理”, 安全管理是保证网络安全的基础, 安全技术是配合安全管理的辅助措施。同时必须建立了一套校园网络安全管理模式, 制定有详细的安全管理制度, 如机房管理制度、病毒防范制度等, 并采取切实有效的措施保证制度的执行。如利用新生入学教育和新职工岗前培训的时间, 对新入网用户进行网络安全及相关法律、法规的教育, 引导学生正确学习和运用网络技术, 促使校园网健康发展。

3. 结束语

总之, 校园网的安全问题是一个较为复杂的系统工程, 从严格的意义上来讲, 没有绝对安全的网络系统。目前, 只能说我们要尽一切可能去制止、减小一切非法的访问和操作, 把不安全的因素降到最低, 要完善校园网管理制度, 对相关的校园网管理人员进行培训, 对教师、学生进行网络教育, 提高公德意识, 安装最新的防病毒软件和防火端, 安装软件补丁程序, 对重要文件要进行备份, 动态地运用多种安全策略, 提高校园网的安全性, 建设一个安全、可信的网络环境, 促使校园网健康稳定发展。

参考文献

[1]谢希仁.计算机网络 (第4版) [M].北京:电子下业出版社, 2003.

[2]曹天杰.计算机系统安全[M].北京:高等教育出版社, 2003.

[3]方铖.基于高校校园网的安全与对策[J].网络通讯与安全, 2007 (5) .

[4]李天健.校园网软件开发的系统分析[J].计算机应用研究.2004.11

校园网安全设计与研究 篇2

浏览次数：1196次悬赏分：10 | 提问时间：2008-12-2 15:06 | 提问者：wang871224c

关于以下几个方面的1． 需求分析

2． 技术方案设计

3． 产品选型

4． 网络设计

5． 工程施工

6． 网络平台设置

7． 系统测试

8． 应用软件开发

9． 技术文档形成10． 技术支持

11． 验收与鉴定

其他回答 共1条

信息化校园"--校园可持续发展的选择

在整个人类正逐渐步入学习化社会的今天，教育信息化、教育终身化和教育全球化正在和必将带来教育的全面变革。而信息化校园的建设和完善，将是这一变革的入手点。

信息化校园，就是一个网络化、数字化、智能化有机结合的新型的教育和学习的校园平台，是由校园网支持的学习环境。

高度发达的计算机网络是信息化校园的核心技术支撑。具体的形式就是校园网，即在校园范围内连接的计算机网络，它将行政管理、信息管理、教学服务、研究开发等各类系统连接起来，实现这些系统之间的信息交换和信息服务。网络化的内容还应该包括与校园网及其整个国际互连网的充分互连。正因为如此，校园的教学、科研资源与社会知识资源实现了高度整合，使信息化校园成为完全开放、超越时空的校园平台和知识中枢。

在信息化校园中，教师和学生可以通过校园网获得丰富的资源，他们再不会因为学校图书馆资源的限制而影响教学质量和学习积极性。网络就象一个百宝箱，为人类的学习提供无穷无尽的资源。

在信息化校园中，学生可以方便地得到教师的个别化的辅导，通过同步和异步师生交互，教师可以满足不同学生的个性化的需要，使得学生真正成为学习的主体。

在信息化校园中，学生与学生之间可以开展协作学习，许多新的教学方法，例如：探究教学法、课题式教学法、问题解决教学法等不仅可以培养学生认知的能力，而且可以培养学生做事的能力、生存的能力和合作的能力。由于这些方法都需要

丰富的资源、教师的个别化指导和学生间广泛的合作，因此，只有在信息化校园的教学环境中，才能够真正实现。

1、校园网建设目标

发展校园网应有长远的目标，力争利用现有的计算机技术和网络通信技术，把校园建成现代化的校园网，实现与其它校园之间的计算机联网和信息资源共享，建成教育科研信息基础，建成功能齐全的网络管理系统。

校园网项目实施后，将有助于学校实现日常管理和办公自动化、计算机辅助教学、教学资源制作的自动化、图书情报检索服务、Internet服务等目标，达到教师备课、学生学习、教育教学管理的现代化，实现信息交流功能、教学服务功能、学生学习功能及学校管理功能。

校园网建设应有以下几个现在和未来的目标：

1）实现校园内部资源共享

学校领导和教师能通过及时、准确地查询教学活动中的信息，掌握当前教学情况。并通过对信息的统计、汇总及分析，为教学、科研管理提供服务，为学校领导计划、组织、管理和决策提供详实的信息资源服务和科学管理手段，能及时制定、修正教学工作计划

2）完备的数据库管理系统和资源库

能够支持大量的图文声像素材、多媒体课件片段，成百个教学光盘，总量达几百兆以上数据文件的收集、管理、存储的提取。检索方便，容错性强。

3）以教学资源库为核心的教学自学环境

为学校教师提供制作环境、备课工具、良好的教学演播环境以及教学评估机制。为学生提供自主学习、交互式协作学习、发现探究式学习的良好学习环境和提供自我评价机制。利用现代教育技术，提高学生的素质，改革课堂教学模式。

4）现代化管理方法和管理手段

加强对学校的财、物的管理，提高办公效率、降低成本消耗，逐步实现办公自动化、网络化。

5）实现校园网与互联网的连接

建立学校主页、教师主页、学生个人主页、电子邮箱、电子公告牌等信息发布窗口，发布有关教育教学信息，建立起学校、教师、家长、学生之间的信息交流平台，并逐步发展建设成为一个面向全省、全国的教育教学信息网站。

6）提供有关教育教学信息网站的连接，增强教学交流能力

建立起各学校之间的教学信息资源库的共享，使不同学校的学生可以实现网上听课、辅导、交互协作式学习。

2、校园网总体需求分析

校园网是一个由硬件平台、操作系统、各种应用软件有机结合而组成的一个系统，下面是一个校园网的整体结构图：

浅析校园网的设计与网络安全 篇3

一、校园网设计的原则

1.坚持开放性,采用国际标准和通用标准;2.采用先进而成熟的技术;3.易于技术更新和网络扩展;4.实用、性价比高;5.统一规划,分布实施。

二、局域网的布线与技术

1、技术要求

⑴先进性：采用先进的技术、方法、设备，使系统既成熟可靠又能反映当今应用水平。

⑵开放性：整个系统应具有开放性，提供开放的网络接口和数据接口，使不同的产品能够协同运行，方便数据交换、信息共享。

⑶扩充性：系统应易于升级和功能扩充。在系统容量、能力、处理能力等方面具有可扩充性，可以方便地进行产品的升级换代，具有较高的综合性能价格比。

⑷可靠性：系统必须具有出错处理、容错能力、冗余备份功能。

⑸实用性：整个网络的功能应完全立足于学校管理和教学的需求，保证系统信息处理和传递的安全、可靠、及时、准确。

⑹安全性：网络系统必须具有高度的安全性和保密性，通过设置分级保护、控制数据存取的权限，防止对系统的非法侵入。

⑺可维护性：提供有效的网络管理和系统监控、调试、诊断技术，保证系统维护管理简明、方便、有效。

⑻可操作性：必须提供友好的中文界面，操作简便，容错性强，易于管理和维护。

⑼经济性：在充分满足系统应用功能需求和系统性能、并保证系统安全可靠性的前提下，选用物美价廉、经济实用的技术和产品。

2、主干网的选择

当前主干网技术有FDDI（光纤分布式数据接口）、快速以太网、千兆以太网、ATM（异步传输模式），在这几种主干网技术中FDDI是一种已经得到公认的成熟的网络技术。它基于令牌传送存取方式，使用双环结构，通过一个叫做“令牌”的帧在网络上循环而发挥作用，在任何时候，环上只有一个令牌，工作站没有得到令牌就不能进行传输，但FDDI是一种允许不同帧长的共享级访问机制，所以会产生不固定的网络延时及负载，不适合传送影像和语音。快速以太网是100MbpsIEEE802.3u标准，是传统的IEEE802.310Mbps以太网技术的发展，和传统以太网一样，它可以工作在共享型和交换型环境中。快速型以太网可以组成交换式以提供优异服务质量，可以在全双工模式下操作而无冲突发生。千兆以太网是传统以太网和快速以太网的发展。ATM是一种正在开发中的新型单元交换技术，是与当前市场上流行的所有其它LAN技术大相径庭的一种新技术，它使用53字节固定长度的单元交换，在LAN（局域网）和WAN（广域网）上传送数据、声音和图像，即ATM可以将计算机网、电话网、有线电视网融合到单一的网络中。ATM使用相同的单元格式，并采用新颖的交换技术和通信管理方法，提高了不可比拟的可延展性，拥有无限的虚拟带宽潜力。

3、综合布线

校园网络综合布线系统将支持语音、数据等综合信息的高质量传输，并适应各种不同类型不同厂商的电脑及网络产品；布线系统的信息出口采用了国际标准的接口，使任意信息点都能接插不同类型的终端设备以支持话音、数据、图像等数据信息和多媒体信息的传输；布线系统符合综合业务数据网ISDN的要求，以便与国内国际其他网络互连。而且布线按照符合国际标准的结构化布线技术进行设计和施工。

三、网络管理与网络安全

1、接入Internet的方式

接入Internet的方式，目前有电话线通过调制解调器接入、DDN专线接入、ISDN接入和宽带光纤接入，几种接入方式的选择主要从速率与性价比考虑，每间学校要根据自己的实际情况来考虑，肇庆职业学校选择了用宽带专线接入方式。服务器和各信息点上的计算机采用了国际标准的TCP/IP网络通信协议。

2、域网安全管理

由于网络在OSI环境上是一个资源交流和信息流通的共享坏境，这就导致了信息共享和信息安全之间永远是一对矛盾性问题。

现实中，一个网络面临的威胁各种各样，大体上可分为以下几类：

1.内部泄密和破坏。这包括内部泄密人员有意或无意泄密、更改记录;非授权人员有意偷窃机密、更改记录、破坏系统等。

2.截收。通过在信源到信宿之间的任意位置（特别是网关处）的窃听装置，分析出机密信息。由于它是一种被动攻击方式，不破坏传输信息的内容，故难以发现。

3.非法访问。这包括非法用户（黑客）进入网络系统进行违法操作;合法用户以未授权方式进行操作。

4.破坏信息完整性。这指攻击者对信息进行篡改、删除、插入等非法操作。

5.破坏系统可用性。

6.冒充。冒充领导调阅密件;冒充主机骗取合法主机及合法用户;冒充网络控制程序套取或修改使用权限、口令、密钥等消息;接管合法用户，欺骗系统，占用合法资源等。

7.抵赖。可能出现的抵赖行为有：发送信息后信息发送者否认曾经发送过信息或否认信息的内容;接收信息后信息接收者否认曾经收到过该信息或该信息的内容。

8.计算机病毒、蠕虫、木马、逻辑炸弹等其它威胁。

3、网络安全

网络安全机制就是对付上述威胁、保护信息资源的一系列措施。目前有效的安全技术包括：

1.加密。一般利用某种规则将可懂信息变成不可懂信息，以防止信息的非授权泄露。目前比较成功且实用的加密算法有DES（数据加密标准）、IDEA（国际数据加密算法）、RSA。

2.数字签名。通信结束后，为了防止事后抵赖现象，可以采用数字签名技术。数字签名与传统的亲笔签名或印章的作用一样，完成对所传信息的确认。现在一般采用公开密钥算法来实现数字签名，可以有效的验证信息的完整性、有效的抵抗冒充、抵赖等威胁。

3.鉴别。鉴别可以验明用户或消息的正身，可以有效的防止冒充、非法访问和重演访问。

4.访问控制。目的是防止非法访问。它利用访问控制表、口令、权限标记、安全标记、试图访问的时间、试图访问的路径、持续访问的时间来实现访问控制。在Internet中防火墙就是访问控制技术的典型应用。

5.其它安全技术。这包括抗通信业务设计、审计、防/查/杀计算机病毒/木马等等。

校园网安全设计与研究 篇4

1 蜜罐的定义及分类

“蜜罐”的思想最早由Clifford Stoll于1988年6月提出, 作者在跟踪黑客的过程中, 利用了一些包含虚假信息的文件作为黑客“诱饵”来检测入侵。明确提出蜜罐是Lance Spitzner给出的定义:蜜罐是一种安全资源, 其价值在于被探测、攻击或者摧毁。蜜罐是一种预先配置好的系统, 系统内含有各种伪造而且有价值的文件和信息, 用于引诱黑客对系统进行攻击和入侵。蜜罐系统可以记录黑客进入系统的一切信息, 同时还具有混浠黑客攻击目标的功能, 可以用来保护服务主机的正常运行。蜜罐系统收集到的信息可以作为跟踪、研究黑客现有技术的重要资料, 可以用来查找并确定黑客的来源;还可以用来分析黑客攻击的目标, 对可能被攻击的系统提前做好防护工作。

蜜罐在编写新的IDS特征库、发现系统漏洞、分析分布式拒绝服务 (DDOS) 攻击等方面是很有价值的。蜜罐本身并不直接增强网络的安全性, 将蜜罐和现有的安全防卫手段如入侵检测系统 (IDS) 、防火墙 (Firewall) 、杀毒软件等结合使用, 可以有效提高系统安全性。

按照蜜罐实现时, 允许操作系统与入侵者交互的复杂程度, 蜜罐系统可以划分为低交互级蜜罐系统、中交互级蜜罐系统和高交互级蜜罐系统。

1) 低交互级蜜罐系统:典型的低交互级蜜罐仅提供一些简单的虚拟服务, 例如在特定的端口监听记录所有进入的数据包。这类蜜罐没有向入侵者提供可以远程登录的真实操作系统, 因此风险最低, 但是蜜罐所扮演的角色是非常被动的, 就象一个单向连接, 只有信息从外界流向本机, 而没有回应信息发出, 无法捕捉到复杂协议下的通讯过程, 所能收集到的信息有限。

2) 中交互级蜜罐系统:中交互级蜜罐系统也不提供真实的操作系统, 但是却为入侵者提供了更多复杂的诱骗进程, 模拟了更多更复杂的特定服务, 使攻击者误认为是一个真正的操作系统, 能够收集更多数据。但同时也增加了蜜罐的风险, 因此要确保在模拟服务和漏洞时不产生新的真实漏洞, 而给黑客攻击真实系统的机会。

3) 高交互级蜜罐系统:高交互蜜罐提供了真实的操作系统和服务, 可以了解黑客运行的全部动作, 获得更多有用信息, 但遭受攻击的可能性大, 引入了更高风险, 结构较复杂。高交互蜜罐系统部署的代价最高, 需要系统管理员的连续监控。不可控制的蜜罐对任何组织来说没有任何意义甚至可能成为网络中最大的安全隐患。

从具体实现的角度, 可以分为物理蜜罐和虚拟蜜罐。

1) 物理蜜罐:物理蜜罐通常是一台或多台真实的在网络上存在的主机, 这些主机上运行着真实的操作系统, 拥有自己的IP地址, 提供真实的网络服务来吸引攻击。

2) 虚拟蜜罐:虚拟蜜罐通常用的是虚拟的机器、虚拟的操作系统, 它会响应发送到虚拟蜜罐的网络数据流, 提供模拟的网络服务等。

2 蜜罐的配置模式

1) 诱骗服务 (deception service)

诱骗服务是指在特定的IP服务端口帧听并像应用服务程序那样对各种网络请求进行应答的应用程序。DTK就是这样的一个服务性产品。DTK吸引攻击者的诡计就是可执行性, 但是它与攻击者进行交互的方式是模仿那些具有可攻击弱点的系统进行的, 所以可以产生的应答非常有限。在这个过程中对所有的行为进行记录, 同时提供较为合理的应答, 并给闯入系统的攻击者带来系统并不安全的错觉。例如, 当我们将诱骗服务配置为FTP服务的模式。当攻击者连接到TCP/21端口的时候, 就会收到一个由蜜罐发出的FTP的标识。如果攻击者认为诱骗服务就是他要攻击的FTP, 他就会采用攻击FTP服务的方式进入系统。这样, 系统管理员便可以记录攻击的细节。

2) 弱化系统 (weakened system)

只要在外部因特网上有一台计算机运行没有打上补丁的微软Windows或者Red Hat Linux即行。这样的特点是攻击者更加容易进入系统, 系统可以收集有效的攻击数据。因为黑客可能会设陷阱, 以获取计算机的日志和审查功能, 需要运行其他额外记录系统, 实现对日志记录的异地存储和备份。它的缺点是“高维护低收益”。因为, 获取已知的攻击行为是毫无意义的。

3) 强化系统 (hardened system)

强化系统同弱化系统一样, 提供一个真实的环境。不过此时的系统已经武装成看似足够安全的。当攻击者闯入时, 蜜罐就开始收集信息, 它能在最短的时间内收集最多有效数据。用这种蜜罐需要系统管理员具有更高的专业技术。如果攻击者具有更高的技术, 那么, 他很可能取代管理员对系统的控制, 从而对其它系统进行攻击。

4) 用户模式服务器 (user mode server)

用户模式服务器实际上是一个用户进程, 它运行在主机上, 并且模拟成一个真实的服务器。在真实主机中, 每个应用程序都当作一个具有独立IP地址的操作系统和服务的特定是实例。用户模式服务器这样一个进程就嵌套在主机操作系统的应用程序空间中, 当INTERNET用户向用户模式服务器的IP地址发送请求, 主机将接受请求并且转发到用户模式服务器上。这种模式的成功与否取决于攻击者的进入程度和受骗程度。它的优点体现在系统管理员对用户主机有绝对的控制权。即使蜜罐被攻陷, 由于用户模式服务器是一个用户进程, 那么Administrator只要关闭该进程就可以了。另外就是可以将FIREWALL, IDS集中于同一台服务器上。当然, 其局限性是不适用于所有的操作系统。

3 蜜罐Honeypot的在校园网中的实现

本人首先研究了宜兴技师学院的网络环境和面临的安全威胁, 分析了校园网的特殊性及校园网的安全需求, 根据校园网的需求和特点, 再结合宜兴技师学院网络的硬件设施和学院的具体情况, 提出了我院的网络安全解决方案, 构建了本院的蜜罐系统, 取名为:HoneypotMe。我们设计该蜜罐系统的目的是为了研究和验证蜜罐在校园网安全领域所起的作用, 通过实践加深对蜜罐思想的理解, 并进一步在实际环境中使用它来加强网络的安全性。

我们在校园网中搭建了如下的试验平台, HoneypotMe的系统结构及虚拟网络拓扑结构如图1所示。HoneypotMe是由虚拟网络、虚拟蜜罐、防火墙、虚拟蜜罐的日志及分析系统、入侵检测系统及被动探测系统几部分组成的综合系统。

这里的虚拟蜜罐系统建立的是一个虚拟的网络和主机环境。它通过模拟操作系统的TCP/IP栈来建立蜜罐, 可模拟各种不同的操作系统及设备, 如Linux, Windows 2000, Windows NT, Cisco Switch等。它采用的方式是使用与Nmap或Xprobe相同的指纹 (fingerprint) 数据库来模拟操作系统, 以响应针对虚拟蜜罐的网络请求, 这样可以愚弄像Xprobe或Nmap这样的TCP/IP栈指纹识别工具。另一方面, 这个系统也可以模拟虚拟网络拓扑, 在模拟的网络配置中包含路由器, 并且包含路由器的连接特性, 比如反应时间、包丢失和带宽等。这样可以愚弄traceroute这类工具, 使网络流量看起来遵循了所模拟的网络拓扑。在我们的系统中, 不仅通过栈指纹愚弄和吸引攻击者以探测攻击, 而且还建立了一些模拟的服务, 让它们来与攻击者进行交互作用。不同的系统平台上通过脚本模拟着不同的服务, 例如:在模拟的Windows系统上打开NetBIOS端口, 在模拟的Linux系统中激活mail和FTP, 而模拟的Cisco路由器有一个标准的Telnet端口, 这样可使建立起来的网络环境看上去更加真实可信。每个被模拟的计算机系统都有一个IP地址与之绑定, 这些被绑定的地址是一些未被分配网络地址。这样配置起来的系统灵活多变, 与真实的生产性系统混合在一起, 更增加其诱捕和欺骗作用。图3.9虚线框中所示就是为实验环境设计的虚拟蜜罐的网络拓扑图。Honeyd是一个构建虚拟蜜罐的软件, 可以利用它实现我们构建虚拟蜜罐的目标。另外, 作为一个开放源代码解决方案, 可为开发利用提供方便, 比如, 可编写其它的服务脚本以扩充系统的功能等。为了防止由于攻击者对蜜罐系统的破坏, 使蜜罐系统瘫痪, 可使用防火墙来保护该蜜罐系统。防火墙被配置成允许任何连接进入到几个虚拟蜜罐中, 但是严格控制到系统本身的访问, 本系统选用IPTables来保护宿主OS的外部IP地址。收集和分析攻击者的信息是HoneypotMe能力的一项重要体现。由于蜜罐没有生产性的活动, 没有任何正常流量会流向它正在监视的几个IP地址。这使得分析它捕捉到的信息极其简单, 因此它捕捉到的任何东西很可能是具有敌意的。Honeyd软件有生成日志的功能, 日志全面描述了什么系统什么时候正在探测什么端口。IDS能对已知的攻击发出警报, 同时可将所有网络流量记录到一个文件或数据库中。为了获得分析数据包捕获的更详细的信息, 在HoneypotMe蜜罐系统中安装和配置了Snort入侵检测系统。Snort收集到的信息一方面记录到Snort的日志文件中, 另一方面记录到Mysql数据库中以便观察和统计分析之用。另外, 我们打算利用被动探测详细地分析攻击者的特征。这就需要捕获原始数据包供被动探测工具使用。可利用Snort入侵检测系统获取Tcpdump这样的二进制日志记录格式以作为被动探测工具的输入数据, 获取攻击者更详细的信息以实现隐蔽探测。

正如我们所看到的, 蜜罐系统使用许多独立的工具和脚本创建, 在其中还包括一些日志文件和数据库供分析之用。开发图形用户界面来配置、管理蜜罐以及集中管理所有信息来源是我们的目标。蜜罐收集了许多来自不同来源的信息, 将它们存储到多个日志文件和数据库中。用GUI来分析这些文件和使所收集的数据相关联是会有很大的帮助的, 这样的话管理员就不需要记住存储数据的所有文件。另一个很主要的优点是其外观, 在基于web的GUI上表示信息比访问日志文件清晰整洁的多。目前, 我们仅实现了在web界面上浏览Honeyd日志的功能。

4 实验过程及结果分析

为了验证该系统, 虚拟蜜罐宿主机被连接到校园网的物理网络环境中, 并为其分配一个真实的分配给物理计算机的IP地址, 在这里我们给其分配的IP地址为192.168.40.7。所有实现虚拟蜜罐系统的软件都将运行在Linux9.0操作系统下。图3.9的虚线部分显示出我们要模拟的虚拟网络结构及各个虚拟蜜罐。从图中可以看出虚拟蜜罐1 (IP地址为192.168.40.56) 、虚拟蜜罐2 (IP地址为192.168.40.57) 、虚拟蜜罐3 (IP地址为192.168.40.58) 和虚拟蜜罐4 (IP地址为192.168.40.59) 与虚拟蜜罐宿主机处于同一个网段。从这个网段通过一个IP地址为192.168.40.123的路由器 (路由器1) 模拟一个地址空间为10.0.1.0/24的网络, 在这个网段中包括两个虚拟蜜罐:虚拟蜜罐5 (10.0.1.51) 和虚拟蜜罐6 (10.0.1.52) 。从这个网段通过一个IP地址为10.0.1.100的路由器 (路由器2) 又增加了另一个地址范围为10.1.0.0/16的网络, 在此网络中分布了两个蜜罐虚拟蜜罐7 (10.1.0.51) 和虚拟蜜罐8 (10.1.0.52) 。

我们知道虚拟蜜罐系统是一个完全被配置起来的计算机系统, 它在配置文件中描述每一个引用。

每个样本定义了每个模拟的操作系统的性能。“特征 (personality) ”这就是操作系统在IP堆栈层要模拟的东西, 可利用Nmap指纹数据库里相同的描述作为它的OS类型。在样本windows里, 特征为“Windows NT 4.0 Server SP5-SP6”, 在linux样本里, 它的特征为“Linux 2.4.16–2.4.18”。注意, 特征并不影响所模拟的服务的行为, 仅仅修改IP栈的行为。对于所模拟的服务, 必须根据想要模拟的OS的类型选择不同的脚本。换句话说就是, 如果特征是Windows, 不要绑定一个模拟的Apache脚本到HTTP端口, 而是绑定一个IIS脚本到HTTP端口。应该说, 这些服务都是入侵者在相应的操作系统中希望找到的。在样本中, 你可以为端口规定明确的行为, 也可以定义为一般的行为。两个样本中将TCP和UDP的缺省行为定义为reset, 因此在一般情况下, 对于TCP来讲将用RST (连接复位) 去响应任意的连接企图, 对于UDP, 将用ICMP端口不可达去响应。对于定义为open行为的端口, 对于TCP将用ACK响应, 而UDP将什么也不响应。从样本中可以看出, Windows系统的NetBIOS端口处于打开状态;当一个机器与这个蜜罐的80端口连接时, 该蜜罐用IIS仿真程序perl脚本与客户机进行交互;另外Linux系统的mail和FTP服务被激活。上面的两个样本分别被绑定在不同的IP地址上。

5 结论

总之蜜罐技术是灵活的, 我们可以按照自己的实现目标来构建自己的蜜罐系统。在这里我们利用虚拟蜜罐框架来构建我们校园网的蜜罐, 以实现蜜罐的欺骗和诱骗功能。为了控制黑客的行为, 防止黑客对蜜罐系统的破坏和利用, 在蜜罐系统中加入了防火墙, 并选用了Linux 2.4自带的内核包过滤的工具iptables。为了了解黑客的行为, 在蜜罐系统中加入了信息收集和统计分析功能。通过开发web接口的日志文件查询工具, 使蜜罐管理员能够方便快捷地查询虚拟蜜罐框架收集的日志信息。为了获得更详细的黑客攻击和扫描信息并及时得到报警, 使用入侵检测系统Snort来满足我们的需求。最终, 为了获取黑客自身的信息而又不被其发现, 我们使用被动探测工具p0f来获取黑客的操作系统指纹。这是实现隐蔽探测的一个很好的思路, 即利用蜜罐来引诱攻击者的扫描和攻击, 然后使用被动探测工具探查攻击者的信息。这也是我们构建蜜罐系统的一个创新点。综上所述, 我们构建的蜜罐系统是一个实现了欺骗和诱骗、行为控制、入侵检测、被动探测、数据分析等功能的综合性蜜罐系统。

参考文献

[1]夏明, 赵小敏.基于蜜罐技术的病毒样本采集系统的设计和实现[J].信息网络安全, 2008 (10) .

[2]张千里.陈光英络安全新技术民邮电出版社, 2006, 113-112.

校园网安全系统的设计 篇5

摘要：校园网的安全需要一个完善的网络安全体系防范体系，这是个复杂的系统工程，校园网是否安全，关系着学校是否能健康稳定的发展，也关系着相关的教学活动是否能正常顺利开展，因此校园网安全建设是十分重要的。本文以亳州师专校园网建设为背景，提出了校园网络安全系统的建设目标，从物理层、网络层、系统层、应用层、安全管理等几个方面，对校园网络安全系统的构建进行设计。

关键词：校园网 校园网络安全 安全系统

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2016）06-0196-01 亳州师专校园网络安全系统设计目标

校园网络安全系统设计目标是为整合各业务系统的校园网设计一整套的网络安全方案，用以确保校园网安全、稳定、高效的运行。通过校园网，教师可以查阅资料、进行科研和教学活动；学生可以进行网上学习、生活；管理者方便管理整个网络；校外人员可以访问校园网站；各业务系统充分发挥各自性能，为部门提高办公效率。而这一切都是在一个安全、可靠的网络环境下进行的，不必担心受到黑客的攻击和病毒的侵袭。

亳州师范高等专科学校校园网络安全应该实现以下内容：（1）组织人员管理、维护设备，确保网络系统线路、设备安全。安装网络设备管理系统监控设备运行情况。（2）与互联网的连接要部署入口防火墙、设定好过滤规则。（3）制定科学合理的安全策略、开启网络设备的安全配置。（4）部署入侵检测系统，防止黑客攻击。（5）部署校园网防病毒系统，要网络杀毒和单机杀毒相结合。每个子系统都要安装杀毒软件。（6）建立身份认证机制，阻止黑客统入侵系统。（7）制定安全管理制度。校园网络安全系统设计原则

（1）整体性：校园网是一个复杂的系统工程，要从整体上对校园网进行安全设计，任何一部分的安全缺陷都会给校园网带来安全威胁。

（2）等级一致性：校园网将用户分等级进行管理，对不同等级的授予不同的访问权限，禁止越权访问。各系统数据互通、采用统一的安全标准。

（3）技术与管理相结合：将先进的安全防护技术结合人员管理，实现技术、人员双重保护。

（4）经济实用：考虑到学校投资经费有限，要结合学校网络安全需求，制定科学合理经济实用的安全方案。

（5）动态发展：校园网随着使用人员的增加和应用软件的增多，系统不断的变化发展，安全体系要能适应网络的发展，满足新的网络安全需求。校园网络安全防范体系及安全设计

针对亳州师专校园结构的特点结合安全管理目标，对校园安全系统采用分层设计：

（1）物理层安全设计。亳州师专校园网物理层设计主要需要做如下几项工作：1）对中心机房安装避雷设备；2）主机房安装恒温空调，控制温度，增加湿度控制；3）校园网主机房禁止无关人员进入，加强人员管理；4）增加备用电源；5）管理人员使用网络管理系统，及时发现出现问题的设备和线路并进行维修。

（2）网络层安全设计。网络层的安全主要看网络流量是否得到控制。网络层每一个来访的用户都具有独立IP地址。根据这一IP地址，目标网站能分析出这个用户来自哪里，有没有权限和有什么样的权限来使用网络。如果发现有来自不安全的网站的数据，就将其拒之门外。为了实现对网络的控制，通常采用的是安装防火墙和建立VPN这两种技术。防火墙的安全和部署可以检测来访网络流量，将未经授权的用户阻挡在网络外。虚拟专用网技术（VPN）在公用网的基础上开辟一条专用通道，通过加密技术对数据进行传输，确保了数据的安全。

（3）系统层安全设计。针于亳州师专学校系统层存在的安全问题，需要进行下列工作：①制定操作系统安全策略；②关闭不必要的服务；③关闭不必要的端口；④开启审核策略；⑤开启口令策略；⑥开启账户策略；⑦备份敏感文件；⑧禁止建立空连接：攻击者通过网络请求，建立空连接可以获取主机的用户列表，攻击者能利用用户列表进行暴力破解，因此要禁止建立空连接。⑨下载最新补丁：操作系统同其它软件一样，可能在使用过程中会出现这样或那样的漏洞。系统管理员应该经常关注漏洞情况，及时下载和安装漏洞补丁，以增强操作系统的安全性。

（4）应用层安全设计。应用层安全是应用程序的安全。应用安全作为信息安全的一部分，主要内容包括应用程序运行安全和应用资源安全两方面。为了保障应用安全，需要加强应用系统在安全性方面的设计与设置，防止在运行过程中发生应用系统不稳定、不可靠和资源被非法访问、篡改等安全事件。亳州师专校网应用层安全是指确保亳州师专学校校园网内各应用业务系统如：校园网站站群管理、教学管理系统、资产管理系统、财务管理系统、人事管理系统等的安全，确保各业务系统网络稳定、可靠、安全的运行。对应用资源安全防护来讲，应用安全的目标很明确：一是合法用户能够通过安全策略合法地访问业务资源；二是不让攻击者访问、篡改任何受保护的资源。

（5）安全管理设计。校园网的安全管理设计到每个使用校园网络的人，管理者要根据亳州师专校园的安全需求制定科学合理的网络安全管理制度，成立网络安全领导小组，建立合适的信息安全管理组织框架，以保证在校园网管理上的安全。

校园网的安全需要一个完善的网络安全体系防范体系，这是个复杂的系统工程。网络安全体系防范体系不仅需要先进的网络安全技术还需要建立对网络安全的人员配置、制定网络安全管理制度。亳州师专校园网络同其他网络系统一样也是分层的结构，在设计上我们从物理层、网络层、应用层、系统层逐层进行了安全设计，将多种安全协议和安全策略进行配合，多种安全产品的联动，形成一种协调不同层面网络的安全问题的监管体系。放火墙的安装和部署、防病毒软件、IDS、VPN、数据的恢复和备份等安全技术和安全设备整合起来，各负其责、相互合作，形成一个集预防、检测、响应、攻击中的防范、攻击后的系统恢复等功能的一个安全体系。

参考文献

校园网安全设计与研究 篇6

关键词：蜜网技术；网络安全；主动防御

中图分类号： TP393 文献标识码： A 文章编号： 1673-1069（2016）32-163-2

1 基于蜜网技术的校园网络安全系统设计

1.1 系统基本需求

系统具有不同的需求，其中，在系统基本需求方面，主要涉及性能和安全等方面。①性能需求：受到校园网络日常实际情况的影响，相应的系统需要满足一定的需求，具体来看，主要涉及响应时间以及项目规模两个方面。②易用性需求：在校园网络安全系统的运行过程中，涉及多个相关部门和单位的不同系统用户。但是，所涉及的不同系统用户在实际信息化水平方面存在较大的差异，易用性在很大程度上决定了校园网络安全系统运行的效果。在具体的设计过程中，要采用以人为本的设计思想。③安全需求：校园网络安全系统在安全方面具有较大的需求。首先，在进行系统建设的时候，需要提高安全意识，保证网络系统具有良好的可用性，并保证网络系统服务可以维持良好的稳定、连续状态，一旦发生异常，也可以迅速得到恢复。其次，在应用方面，也要满足一定的安全需求。一方面，要保证接入的安全。另一方面，要保证不同用户的安全。第三，在数据安全方面，校园网络安全系统中涉及海量数据信息，这些数据与学校的教育和教学以及发展等均息息相关。因此，做好对相关数据的安全性管理至关重要。④可靠性需求：校园网络安全系统系统在可靠性方面也有着极高的需求。在信息化建设高速发展的今天，校园网络安全系统已成为各学校的必选装备。通过校园网络安全系统这个信息化平台的部署、推广，能够帮助学校攻克各种管理等方面难题，构造高效率的环境和一体化的技术支撑平台，助力学校突破成长壁垒。

1.2 系统功能需求

在具体的功能方面，系统涉及诸多不同的模块，具体来看，主要包括数据控制模块和数据捕获模块、日志模块以及响应模块，整个系统的结构见图1：

2 基于蜜网技术的校园网络安全系统的实现

在本次系统的设计之中，设计了数据捕获等模块。在设计的时候，考虑到了系统的简单性和有效性， 并选用合适的网络技术来完成相应的功能。在实现整个系统的时候，为了降低系统配置和安装以及日后维护的难度，选择借助linux 平台，并使用虚拟机技术进行系统平台建立。

2.1 系统实现环境

2.1.1 网络环境

在系统实现的网络环境方面，设定的条件为外网 100M，内网 1000M 到楼宇，100M 到桌面。在对整个系统予以实现的时候，具体媒介为一台物理计算机。另外二层网管设置为宿主机。

2.1.2 硬件环境

考虑到硬件条件的移动性以及各种现实情况的约束，本次系统设计中考虑使用虚拟机技术。在系统的硬件方面，选择将主动防御系统的平台设置为1台性能较高的IBM服务器。该服务器包含2块100M/1000M 自适应网卡，2块73G SCSI 硬盘，2个INTEL P4处理器，2G内存。

2.2 虚拟网桥机的实现

在主动防御系统中，网桥部分是一个十分关键的组成部分。在网桥主机上，对各种信息收集与控制功能进行了聚集，并设置有相应的日志系统。受到实际硬件条件的限制，在系统的实现过程中，选择利用VMware 软件进行 Linux 虚拟机系统建立，并进行网桥配置。

2.3 系统模块实现

2.3.1 数据控制模块

在实现数据控制模块的时候，需要對流经系统的相关数据进行有效的控制。

2.3.2 数据捕获模块

系统设计中，在进行数据捕获的时候，需要从3个不同的层次进行捕获。按照上文的设计，数据捕获用例情况如下所示：

对于利用不同层次的防火墙和蜜罐主机以及嗅探器捕获得到的数据日志，可以对其进行一定的处理，然后将其存放在相应的文件和数据库中，以便日后进行查询和分析。经过防火墙的相关数据，可以通过对防火墙日志的查询和分析得到。

2.3.3 日志模块

在系统运行中，可能会出现一定的事件，需要对相关情况进行详细的记录。而利用日志模块，则可以很好地对各种网络事件进行有效记录。以帮助人们更好地掌握不同网络事件的细节，并从中发现可为所用的依据等。

2.3.4 响应模块

我们通过分析了解到，在系统的设计过程中，即便通过数据控制等模块可以实现对各种数据的有效控制，但受到复杂网络环境以及其他一些复杂情况的影响，仍然存在一定的安全隐患。为此，系统设计了响应模块，以实现对各种系统异常情况的及时报警。在进行设计的时候，设计可以通过对各种日志的分析，及时响应响应的报警事件，然后，通过电子邮件等方式告知管理员，提醒其注意相应的问题。

3 系统测试

在进行系统测试的时候，所使用的网络拓扑以及系统软硬件环境均与上文保持一致。测试的过程中，选择以办校的校园网为依托进行测试。通过系统测试也发现，不同的系统功能均能够正常运行。并能够得到相应的日志，从而为整个系统在日后运行中数据控制和捕获以及报警等提供可靠的参考依据。这样一来，可以更好地提高整个校园网的防御能力，维持安全、稳定的校园网运行状态，更好地为广大师生提供所需的服务。由于所设计的安全系统中并没有涉及任何重要性的文件，且对外接连接数据进行了限制。因此，在本次攻击中，攻击者并没有能够通过蜜罐对外部发起攻击，也没有获取任何重要的信息。

4 结论与展望

通过本次研究，基本上完成了对蜜网技术和校园网络安全问题的了解，并结合校园实际情况，基于蜜网技术对相关校园网络安全系统进行设计和测试。在本次研究所设计的系统中，将防火墙网桥功能桥接蜜罐网络以及外部网络 ，并利用防火墙以及网络入侵检测技术等进行数据控制和捕获，以及时发现攻击事件。同时，通过获得日志等方式，不断积累安全防护所需的信息，以更好地提高系统安全防护的水平。

参 考 文 献

[1] 肖艳萍，张舜标，郑铮华，等.网络安全态势感知在校园网络安全的研究进展与展望[J].广东农工商职业技术学院学报，2013（4）：38-41.

[2] 徐晓玲，刘卫，崔伟.基于蜜罐技术的校园网安全系统的设计与实现[J].网络安全技术与应用，2014（6）：71-71.

[3] 贺文娟.蜜罐技术在校园网系统中的应用研究[J].常熟理工学院学报，2012，26（10）：121-124.

[4] 许伦彰.虚拟蜜罐技术在校园网安全中的应用[J].保密科学技术，2012（6）：73-75.

校园网安全设计与研究 篇7

在国内的各个大中院校以及中小学已基本建设了各自的校园网络, 校园网络成为了学校信息化的一个重要部分。校园网是学校建设的基础设施, 担任着学校教学、管理、科研以及对外交流等重要职责。所以校园网能否安全运行直接影响着学校的正常教学事务。网络建设的初期, 网络安全问题表现的也许不是很突出, 但是在校园网不断扩大规模、应用的深入的时候, 在校园网上的各种数据就会迅速增加, 受到的网络攻击也会逐渐地增多, 这样就会出现各种各样的安全问题影响校园网的正常运行。所以, 在扩大校园网使用的同时, 如何保证网络能够安全的正常运行已经成为各个高校所面临的问题。本文将结合在校园网络建设过程中常见的问题进行研究分析。

1 校园网建设面临的主要问题

高校校园网建设面临的主要问题有以下几个方面:

1.1 网络管理维护困难

现代的教学已经从过去的教师课堂教学走向了网络化, 学生由许多时间进行在线上课学习、娱乐, 这样就会给校园网络带来很大的负担, 就会出现校园网工作量大、网络大、故障问题定位难以及网络管理难度大、网络安全性差等问题。

1.2 网络资源调配以及业务容量困难

在进行资源调配时, 需要合理地进行调度, 要满足网络远程教学和多媒体教学、视频会议、图书馆系统的访问以及教务系统的访问等业务。

1.3 网络安全

与其它网络一样, 校园网也会受到相应的威胁, 比如冒充合法用户、非授权访问、干扰系统正常运行、破坏数据的完整性、病毒与恶意的攻击等问题。

2 校园网络安全问题应对策略的研究

2.1 物理安全的策略

网络安全的前提条件是计算机网络系统各种物理设备的安全运行。物理设备的安全运行主要包括两个方面:一方面是设备安全, 设备的防毁、防盗、抗电磁干扰、防电磁信息辐射泄漏以及电源安全等。另一方面主要是环境安全, 计算机系统的安全运行需要有一个安全的运行环境, 保障计算机有一个电磁兼容工作环境。

2.2 控制访问策略

控制访问策略主要是针对校园网内部的攻击, 防止校内人员攻击网络。上网访问控制是网络访问的第一层访问控制, 主要是控制有哪些用户可以登录到服务器, 进行网络资源的获取;控制用户可以到哪台工作站入网以及允许用户入网的时间。对于校园网内部的用户来说, 他们可以直接访问内部的网络, 而且他们拥有者较多的权限, 这就需要重点考虑防止内部用户对网络的攻击。提高内部网络安全性主要采取的方法有以下几种:

(1) 划分局域网

可以划分虚拟局域网, 限制各个工作组之间的访问, 也可以考虑把服务器划分成一个独立的虚拟局域网。比如, 在某高校的教务处行政大楼中的汇聚层交换机上, 通过划分VLAN实现各个部分之间的间隔, 配置的命令:

(2) 控制网络的权限

权限的控制主要是应对非法网络操作所做出的一项安全保护措施。用户和用户组拥有一定的访问权限, 网络控制用户组和用户可以访问哪些资源, 以及控制用户组和用户可以对这些资源进行哪些操作。在汇聚层的路由器或是交换机上应用访问控制列表, 限制用户对一些服务器的访问, 保证服务器的安全运行。在应用访问控制列表时, 需要根据校园网的实际需求, 结合实际的情况选择合适的应用。例如在汇聚层上配置如下命令:

这样的设置会拒绝192.168.50.0/24网段上的终端用户对211.69.16.0/24网段的web服务访问。

学生机房主要是通过NAT技术或者是代理服务器访问外部网络, 需要在服务器上建立日志服务器, 记录用户对服务器的访问情况。在实验中心搭建一台服务器, 在linux系统下建立代理服务器、日志服务器等, 用以保证内部网络的安全。

(3) IP绑定

对校园内的教师家属院、学生公寓以及其它使用公有IP的用户, 对其MAC地址与IP进行绑定。比如, 在接入层的交换机上, , 进行MAC地址与IP地址实现绑定, 可以用于防止用户私自扩展接口。其配置命令如下:

(4) 网络服务器与监测的安全控制

网络允许有权限的用户在服务器控制台上进行一系列的操作, 用户可以利用控制台进行模块的安装和卸载, 还可以安装和删除软件等一系列操作。网络服务器的安全控制包括设置服务器控制台锁定的口令, 用以防止非法用户对重要数据的修改、删除或是对数据的破坏;还可以对用户登录服务器的时间进行限制的设定, 对非法访问者进行检测。

2.3 防火墙控制

在制定了防火墙需要遵循的规则以及安全策略之后, 就可以按照制定的安全策略配置防火墙。不同的防火墙具有不一样的配置特点, 表1列出了一些防火墙的特点, 表2列出了一些防火墙受到的攻击威胁及其防御措施。

2.4 系统的漏洞管理

对系统的漏洞进行管理, 可以有效地避免漏洞攻击造成的安全问题。利用漏洞管理软件可以及实地找到漏洞, 还能够详细地了解漏洞的相关信息, 这样就不需要每天去关注不同的厂商的漏洞公告。漏洞管理软件提供了完善的漏洞管理机制, 管理者可以很方便的跟踪、记录和验证评估。漏洞管理系统包括管理控制台和硬件平台, 漏洞管理系统部署在交换机出, 对整个网络进行漏洞管理, 漏洞管理系统及其功能。

2.5 过滤和备份技术

备份可以提高数据的完整性, 主要是对需要保护的数据另外复制一份保存在其它地方, 原件如果丢失还可以使用备份数据。还有一个可以提高数据完整性的技术----镜像技术, 镜像技术是指两个设备执行相同的工作, 如果其中一个出现问题, 另外一个仍可以正常工作。

对于校园网络的安全管理还有许多需要解决的问题, 在此知识介绍了一部分的问题及其解决对策, 校园网络的安全还需要网络管理员及其相关工作人员的不断努力, 争取做到校园网络安全化, 信息健康化。

3 总结语

校园网络的安全是一个比较复杂的系统工程, 按照严格的意义来说, 没有绝对安全的网络系统, 网络安全是在网络运行的过程中, 结合实际遇到的问题, 分析运用多种网络安全措施, 进而建立一套适合自身院校的计算机安全网络体系。

参考文献

[1]刘远生.计算机网络安全 (第二版) [M].清华大学出版社2010.

[2]刘宇坤夏栋梁.校园网络安全系统的设计与实现[J].网络安全技术与应用, 2011 (09)

[3]黄慧.浅析校园网络安[J].网络安全技术与应用2011 (08)

[4]吴佩达沈俊.校园网网络安全隐患及其对策[J].湖州职业技术学院学报, 2008 (03)

[5]刘卫星.校园网络安全的改进研究[J].硅谷, 2010 (03)

校园网安全体系的设计与实践 篇8

当前互联网的安全形势非常严峻, 各种网络攻击、病毒、漏洞不断涌现, 对校园网的稳定运行造成很大威胁。在这样的安全形势下, 靠单一的安全产品已无法保证校园网的安全, 只有根据校园网的具体情况, 设计完善安全体系, 部署完善的安全设备, 并执行有效的安全管理制度, 才能一定程度上保障校园网的整体安全。以广东理工职业学院为例, 该校园网络由于缺乏相应的安全措施、设备, 及受网络拓扑结构的限制, 该校园网的计算机常遇到病毒攻击及上网缓慢等问题, 为提高校园网的可用性, 需要部署一系列安全产品及措施, 来构建一个相对完整的校园网安全体系, 提高校园网的安全性与稳定性。

2. 校园网安全需求

根据木桶理论的基本原理, 校园网的整体安全水平取决于校园网中最薄弱的环节, 最薄弱的环节往往会导致校园网的崩溃。要保障校园网的整体安全, 需根据校园网的具体情况, 如:网络拓扑结构、提供服务应用、接入客户端的类型等, 结合当前的主流安全技术, 部署一整套的安全设备, 并配合一套行之有效的安全管理制度, 方能在一定程度上保障校园网的整体安全。

本文作者通过对当前主流校园网安全的技术进行调研分析, 并借鉴多所校园网的成功案例, 以及与多家专业安全公司技术人员进行深入的技术交流, 分析得出校园网安全系统的主要需求有:

(1) 高性能的多口千兆硬件防火墙:具备完善的多出口机制和灵活策略路由功能, 保证对外的网络服务器正常高速运行, 以及与电信学生宿舍网的互连访问权限控制。

(2) 高稳定性的流量控制产品:用来对校园网用户的网络行为进行合理限制, 例如:对网络应用、并发连接数和带宽等进行管理, 以合理使用校园网宝贵的出口带宽。

(3) 接入控制系统及智能网络管理系统:部署具有较完善功能的智能网络管理软件对入网计算机的入网许可及安全性 (是否安装防病毒及最新补丁) 进行检查并加以控制, 该系统也可与流量整形系统结合, 采用行为管理系统来实现。

(4) 网络版防病毒系统:对所有入网办公用机及机房管理机安装网络版防病毒软件来提高入网计算机安全, 提高整网安全。

(5) 高性能的X86服务器:用于部署基础网络及管理服务, 如:DNS服务、文件服务、网络管理系统、日志系统等。

以上需求是针对保障校园网络基本安全提出的, 若在条件允许情况下, 应加以部署如:入侵防御系统, 热备防火墙, 网页防篡改系统等。

3. 校园网安全体系规划设计

3.1 基本原则

根据调研结果和该校的实际需求, 制定的校园网安全产品选购原则有:

(1) 稳定性原则:对于校园网安全产品而言, 特别是防火墙、流量整形产品, 其直接部署在校园网的核心, 稳定性无疑是最为重要的, 应确保能长时间的稳定运行。安全产品的性能和质量直接关系到整个校园网络的系统稳定性, 所以在选购时必须把其可靠性放在首位。

(2) 主流化原则:主流化是指技术先进、市场占有率大的主流品牌产品。技术先进意味其性能和功能处于领先的地位, 不容易被淘汰, 可用期长;主流品牌说明产品的功能和性能满足了当前主流的各种技术指标, 产品成熟可靠, 保证了产品的可用性。符合该原则的产品由于使用广泛, 相关的技术资料、技术服务和培训机会容易获取。

(3) 服务好原则:校园网安全产品的服务应细致周到。网络安全产品在应用复杂的校园网中使用, 容易出现一些技术问题, 需要有专人不断进行维护和升级;同时, 攻击手段的层出不穷, 与防病毒软件一样, 网络安全产品也需要不断进行升级来完善。

(4) 可扩展性原则:校园网安全产品的选购应充分考虑可扩展性, 特别是中山校区还处于建设初期, 建筑物及入网计算机将不断增加, 更应考虑系统的可扩展性。对应某些核心设备, 如:防火墙、流量控制设备等, 由于其升级不易, 在购置时应适当考虑性能冗余, 其性能指标应能满足未来几年网络规模拓展后的需求。

(5) 性能价格比原则:性能与价格比是一个重要的原则, 在性能同等的情况之下, 应选择价格低的产品。

3.2 校园网安全体系的设计

计算机网络系统是一个分层次的拓扑结构, 网络的安全防护也需要采用分层次的拓扑防护措施, 完整的网络安全解决方案应覆盖网络的各个层次, 并且与安全管理相结合。结合不同的安全保护因素, 例如防病毒软件、防火墙和安全漏洞检测工具等, 创建一个比单一防护更加有效的综合的保护屏障。分层的安全防护成倍地增加了黑客攻击的成本和难度, 从而大大减少了他们对网络信息系统的攻击。网络安全防护分层如表1所示:

校园网安全体系的建设, 其中很大部分是安全策略及制度的制定及实施, 其所涉及的范畴很大, 特别是网络安全体系的分层表中的物理、应用、数据、管理层的安全, 除了需要一定安全设备外, 安全策略与制度的建设与执行也非常重要。

3.3 网络安全拓扑结构设计

校园网的安全是一个整体, 其各层次及所有设备之间应尽量做到紧密结合, 相互联动, 从而构建一个有机结合的安全体。为实现该目标, 在产品选型时应充分考虑网络拓扑结构, 及与所选购产品之间的联动性, 如:行为管理设备应与客户端安全软件相互结合, 对不符合安全条件的计算机只允许访问安全升级服务区域, 而不允许访问互联网。根据校园网的拓扑结构, 结合相关的安全体系理论研究及安全体系的设计理念, 设计出能较好满足网络安全需求的系统拓扑图, 如图1所示。

3.4 设计要点及主要设备选型

(1) 通过部署高性能防火墙, 对不安全区域、DMZ区、电信学生宿舍网和广州校区校园网等进行有效的访问权限控制, 保证校园网的基本安全。防火墙的选型重点是要求其产品成熟稳定, 有较多的高校应用案例, 通过有关技术参数的比较分析, 选出了阿姆瑞特防火墙作为首选设备。

(2) 部署流量控制设备, 对校园网用户的上网行为进行有效控制, P2P类应用对出口带宽滥用将得到有效遏制, 且利用上网缓存功能, 在提升校园网用户上网速度体验的同时, 其上网行为也将得到有效审计和记录。目前校园网流量控制主要是对P2P流量进行管理, 通过调研及试用, 比较适合我校应用的是深信服的上网行为管理网关, 除了具有完善的上网行为、流量控制和上网加速功能外, 还具有完善的审计功能及准入功能。

(3) 对所有办公电脑及机房管理机安装网络版的防病毒软件, 提高全网安全性。在校园网中部署网络版的防病毒软件是非常必要的, 通过对市场主流网络版防病毒软件:趋势、赛门铁克、卡巴斯基、McAfee、瑞星、江民、金山等进行对比分析, 根据防毒能力、本地化情况、服务等方面进行对比分析, 拟使用趋势的企业版防病毒软件。

(4) 尽快做到三层下发和细化子网, 并通过部署高安全性的二层半智能交换机实现硬件防ARP欺骗, 提高网络的稳定性和安全性。

通过部署以上安全设备, 配合有效的安全管理制度, 将形成一个初步完善的校园网安全体系。

4. 设备部署及实施效果

4.1 校园网安全体系的部署策略

(1) 对防火墙部署完善安全规则, 并细化控制各服务器的开放端口, 严格控制各区域之间访问权限。

(2) 在应用控制网关上, 实施合理的上网行为管理, 对P2P类应用进行严格控制, 并应用上网加速功能。

(3) 对应用控制网关日志进行60天的日志记录。

(4) 实施准入控制方案, 对用户入网合法性进行验证, 对部分固定用户采取免验证绑定策略, 新接入用户及临时用户需通过验证方能访问互联网。

(5) 实施接入客户端安全性检测, 只有安装好防病毒及系统补丁的服务器方能正常访问互联网, 否则只能访问内网的防病毒及WSUS补丁服务器;

(6) 对服务器的部署严格安全防护措施, 严格检测其部署应用的安全性。

(7) 加强对数据安全的管理, 制定有效可行的备份恢复方案。

(8) 建立并严格执行规章制度的策略。

4.2 实施效果

通过安全系统的部署, 广东理工职业学院的校园网的安全性、可用性将得到保证, 实施后主要效果有:初步形成校园网整体安全体系, 从接入、网络到边界层, 或是客户端、服务器和网络设备, 都部署相应的防护安全措施;校园网用户行为得到有效管理, 实现对校园网用户上网行的有效管理审计、记录和上网加速;校园网出口流量得到合理控制, 网络服务质量和用户上网体验得到保障;提升了网络及接入端的管理水平, 加强了对客户端的网络接入控制及其安全性控制;校园网的安全性、稳定性、可用性, 及服务器、客户端的安全性都得到保障, 从而提升整个校园网的网络服务质量。

5. 结语

在当前不安全的网络环境下, 要保证校园网的应用与服务, 构建完善的校园网安全体系是非常必要的, 本文通过对校园网安全实例进行分析, 提出了网络安全产品的选购原则, 利用网络安全分层防护理论, 设计了一个较完善的网络安全体系, 并通过部署相应安全设备及实施合理有效的管理策略, 在实际使用环境中得到较好的应用效果, 较好提升了校园网的服务质量。本文所设计并实施的安全体系对目前校园网普遍存在的安全问题提出一种具有较高借鉴价值的解决思路, 网络安全形势不断发展, 安全管理策略也应不断更新, 方能不断提升网络安全管理水平。

摘要：本文对校园网安全需求进行了分析, 提出了网络安全产品的选购原则, 并采用网络安全分层防护理论, 设计了一个较完善的安全体系, 通过部署相应安全设备和实施有效的管理策略, 得到了良好的实施结果, 提升了校园网的安全性。

关键词：校园网,安全体系,管理策略

参考文献

[1]张俊鹏, 王飞戈.基于蜜罐技术的校园网络安全系统方案设计[J].武汉理工大学学报, 2010 (9) :142-146.

[2]张德祥, 刘勋.校园信息网络安全体系构建研究[J].情报科学, 2009 (10) :1543-1544.

[3]马文杰, 王琰.试论校园网络安全体系建设[J].福建电脑, 2007 (1) :80-81.

校园网安全设计与研究 篇9

校园网络是学校教学、科研、管理和对外交流的主要平台之一，由于网络的对外开放，对网络的安全性有很大的威胁，常常受到来自外部的网络攻击。但网络管理员虽然经常对计算机系统和网络进行检查，却很难发现其脆弱性。校园网安全评估能对其安全状况进行评估、风险分析、安全趋势分析，并对发现的安全隐患提出针对性的解决方案和建议。

2 总体设计思想

校园网络安全评估系统是对网络设备或计算机系统进行有关与安全相关的检测，找出安全隐患和可能被利用的漏洞，并根据检测结果自动生成可靠的安全性分析报告，提早采取措施，确保计算机系统和网络设备能正常运行。

3 校园网网络安全评估系统的实现

3.1 系统总体结构

本文设计的校园网网络安全评估系统采用客户端/服务器的结构，客户端是一个控制平台，它为用户提供了方便、友好的界面，在扫描检测前设置服务器，在扫描检测过程显示扫描进度，在扫描检测和评估后提交评估报告。服务器端集成了脆弱性数据库、扫描结果库、扫描协调模块、各个检测模块、安全评估模块，它主要用于脆弱性扫描和安全评估。采用客户端/服务器这种结构能够在不同的操作平台上使用，从而可以减少系统开发和维护的难度。

3.2 客户端的设计

客户端为用户提供了方便、友好的界面，在扫描检测前设置服务器，在扫描检测过程显示扫描进度，在扫描检测和评估后提交评估报告。它主要由用户登陆模块、扫描信息显示模块、扫描和评估结果报告模块组成。

3.3 客户端的实现

在本文所设计的系统中，客户端和服务器端的通信使用套接字即Windows Socket。

3.3.1 客户端的工作流程

(1) 客户端连接服务器的流程 (见图1)

(2) 扫描流程

3.3.2 客户端实现

客户端操作界面由主程序界面、扫描界面、服务器连接界面构成。下面给出构造主程序界面时系统所采用的变量和函数。

3.3.3 采用的主要数据结构

客户端的所有全局变量都连接在brg结构组成的一个链表globals上，该链表上包括设置信息、用户信息。

3.4 服务器端的设计与实现

服务器端主要由系统控制模块、扫描数据库、扫描程序库、安全评估模块组成。

3.4.1 系统控制模块

系统控制模块是服务器端的重要部分，它不断的接收客户端的请求，然后根据请求的内容，调用相应的扫描模块进行处理，对客户端的请求进行响应。

3.4.2 扫描数据库

(1）脆弱性数据库。

由于每个插件和脆弱性是一对一的关系，所以脆弱性应包括。具体包括：脆弱性编号、插件ID号、插件名称、CVE编号、发布日期、更新日期、脆弱性名称、脆弱性描述、脆弱性级别、脆弱性类型、风险系数、风险系数权重、受影响的操作系统、系统开启的服务、相应的解决方法或补丁程序的说明字段等。

(2）扫描结果库。

它主要存放经检测验证后确实存在的脆弱性的相关检测信息，包括目标主机信息表、发现脆弱性表、发现服务表等字段，用于记录目前检测到的相关信息。

(3）扫描历史记录库。

它主要记录在某段时间内所有的扫描记录。包括目标主机的基本信息、扫描的日期和时间等。根据该扫描历史记录库能够对同一目标主机或网络的扫描结果进行比较，可以得出该目标系统安全趋势，从而帮助系统安全管理员根据目标系统安全趋势，采取相应的安全措施做到防患于未然。

3.4.3 安全评估模块

该模块通过扫描结果、前面建立的脆弱性风险评估模型以及构造的比较矩阵求出网络的风险大小，从而可以帮助网络安全管理员采取相应的安全防御措施。

4 测试用例

在这里我们对某职业技术学院校园网络进行了测试，在这个网络中有一个防火墙A3, IP地址为：200.200.100.3，一个服务器A2, IP地址为：200.200.100.4，三个客户机，客户机B1, IP地址为：200.200.100.13，客户机B2, IP地址为200.200.100.24，客户机B3, IP地址为：200.200.100.29。

4.1 服务器A2上的信息：

4.1.1 打开的端口和提供的服务有:

4.1.2 扫描到的系统信息有：

通过扫描发现这个主机使用的操作系统Linux2.1。

4.1.3 扫描到的脆弱性信息有：

在端口21/tcp上发现wu-ftp2.60远程溢出脆弱性。具体为只要有一个匿名FTP帐号就能够获取远程管理员权限。它的破坏系数为0.9，传播系数为0.7，容易系数为0.6，追查系数为0.7，它的风险大小=0.9*0.55+0.7*0.10+0.6*0.30+0.7*0.05=0.78

4.2 客户机上的信息

4.2.1 打开的端口和提供的服务有:

4.2.2 扫描到的系统信息有：

通过扫描发现这个主机使用的操作系统Windows NT4

4.2.3 扫描到的脆弱性信息有：

在端口139/tcp上发现netbios共享脆弱性。具体为主机允许文件共享使得它们容易受到黑客和某种快速移动的病毒的攻击。它的破坏系数为0.6，传播系数为0.7，容易系数为0.4，追查系数为0.5，它的风险大小=0.6*0.55+0.7*0.10+0.4*0.30+0.5*0.05=0.545。

摘要：及时、准确地了解网络运行状态, 并对校园网络安全做出评估, 是保障校园网络安全的前提。本文设计了基于校园网的网络安全评估系统。

关键词：校园网,网络安全,安全评估

参考文献

[1] (美) Thomas A Wadlow.网络安全实施方法.潇湘工作室译[M].人民邮电出版社, 2000.

[2]刘欣欣, 郑纪蛟.端口扫描与漏洞安全检测系统SD[J].计算机工程与应用, 2001 (1) .

校园网安全与防范研究 篇10

随着新一代数字校园建设的逐渐深入, 各个学校网络的规模越来越大, 基于网络的各项业务也越来越丰富, 为了保持校园网长期稳定、顺畅、高效、安全的运行, 让校园网更好的为教学、科研、管理等业务开展服务, 采用有效的管理措施是非常有必要的。

而随着技术的发展, 各种网络应用逐步增加, 导致校园网安全所面临的挑战也日益增加, 所需管理的方面也越来越多。对管理者而言, 高校校园网通常存在以下几个方面的隐患: (1) 人为的恶意破坏。 (2) 病毒的影响。 (3) IP地址被非法占用。 (4) 非法访问。 (5) 校内应用服务器遭到非法入侵。 (6) 校内用户利用迅雷等p2p应用软件下载, 占用学校有限带宽, 导致正常的校园应用服务受到影响。

2 校园网安全防范策略探讨

计算机网络安全可以分为主动防御和被动防御, 用户身份认证、信息加密、访问控制等属于主动防御, 而安全扫描、防火墙、入侵检测、物理及管理安全等则属于被动防御。任何一个单独的防御技术都无法确保校园网网络信息的安全性, 因此本文将从多个方面探讨确保计校园网网络安全的防范措施。

2.1 硬件系统防护

放置服务器和出口设备的中心机房, 应部署UPS不间断电源、防雷、防水、防静电、防高温的相关设备。定期安排人员对机房内设备进行除尘, 对机房和机柜的钥匙进行严格的管理, 人员进出中心机房要进行登记, 以防止人为的破坏。

2.2 增强学校用户的网络安全意识

定期对老师和学生开展相关的培训, 使其养成良好的上网习惯, 及时安装和更新系统补丁以及杀毒软件, 网络中心也可搭建WSUS服务器, 帮助校园范围内计算机及时更新系统补丁, 以防范因为系统存在漏洞而造成的病毒或者木马的入侵。

2.3 建立防火墙体系, 引入入侵检测设备

防火墙作为网络安全的第一道门户, 可以实现内部网 (校园网) 与外部不可信任网络 (英特网) 之间或是内部网不同网络安全区域的隔离与访问控制, 有效阻挡来自Internet的外部攻击, 对维护校园网的安全启着重要的作用。入侵检测作为一种积极主动地安全防护技术, 是防火墙的合理补充, 他通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析, 从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。提供了对内部攻击、外部攻击和误操作的实时保护, 在网络系统受到危害之前拦截和响应入侵, 是一种积极的防范手段。

2.4 划分虚拟局域网 (vlan)

和传统的以太网相比, vlan具有以下的优点: (1) 有效限制网内广播包, 阻止广播风暴对网内用户的影响, 节省带宽资源。 (2) 安全性:一个vlan里的计算机中毒, 只会影响到该vlan内的计算机用户, 而不会影响其他的用户。 (3) 减少移动和改变的代价。基于以上的几个优点, 合理的在校园网内划分vlan, 可以很好的保护校园网计算机的安全, 减少管理的工作量。

2.5 利用第三方软件

例如应用Wireshark来对局域网网络的封包进行分析, 通过抓包的手段, 可以分析排查网内是否存在A R P攻击、广播风暴等等。

2.6 应用身份认证系统

身份认证系统可以有效的控制校园网非法用户的接入以及根据用户的不同身份, 分配不同的上网权限, 从而有效的控制校园网用户的上网行为。身份认证的实施, 可以建立统一的用户管理、统一的资源管理、统一的资源访问机制。身份认证的实施, 可以最大限速的防范校园网内用户随意篡改IP地址的行为, 防范ARP病毒对校园网用户造成的冲击, 保证正常用户的上网。

2.7 ACL的应用

A C L控制访问列表主要应用于实验室、机房等地交换机上。合理的在交换机上配置ACL访问控制列表, 可以启到允许或者禁止部分网络服务的开放、保护重要的端口的作用, 使得计算机免受病毒的攻击。根据需求, 合理的分配机房的上网时间段, 合理的使用学校有效的带宽资源, 保证校园网快速、稳定的运行。

2.8 引入流量控制对校园网用户进行管理

制定合理的策略, 解决校园网络的拥堵问题, 优化校园网内带宽的管理。应用流控设备可以有效的保障学校网络的关键应用不受影响, 比如为服务器群所在vlan分配足够的网络带宽, 以保证学校关键网络服务的应用。也可对一些p2p下载服务进行适当的限制, 以保证校园网用户不会应为p2p下载量过大而产生访问外网缓慢的现象。

2.9 根据相关的用户上网日志进行管理

运用用户上网日志记录软件, 结合身份认证系统和入侵检测系统对非法访问进行跟踪处理, 记录校园网接入用户的相关上网行为, 管理者可以根据获得的用户日志来制定合适的策略, 管理用户的上网行为。

3 结语

总之, 计算机网络是一个系统工程, 需要管理者从全局的角度出发, 深入认识, 从多个方面一起入手才能解决当前校园网内存在的一系列问题。随着时间的推移, 建立在校园网上的应用会更多, 维护工作面临的挑战也会越来越多, 因此需要不断探索, 加强学习与交流, 营造一个安全、可靠的高校网络环境。

参考文献

[1]蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社, 2005.

[2]陈怀宇.VLAN技术及在校园网中的应用[J].教育探究, 2006 (3) .

[3]弋建伟.浅析校园网安全[J].西安:陕西师范大学学报, 2007 (9) :82～84.

[4]李盘龙, 王浩, 李文杰.校园网络安全研究与应用[J].电脑知识与技术, 2009 (6) .

校园网安全设计与研究 篇11

关键词 高校校园 网络安全管理 问题与策略

中图分类号： TP393 文献标识码：A

随着互联网的普及，校园网的发展正面临着来自各方面的威胁和攻击，网络安全问题日益突出。尤其是高校校园信息化应用系统的集成，实现统一门户平台，建立一个数据存储中心，以及各种各样的信息共享和交流，都需要切实做好校园网络安全体系建设，建立事故预警机制，做好善后处理工作，结合硬件、软件，采取各种技术措施，建立基础的管理措施和各种技术学院校园网络安全体系，以确保所有类型的校园信息化建设的基础设施不受到来自未经授权的访问和破坏。

1 高校校园网络面临的安全威胁

高校校园网络通常接入着成千上万台计算机、服务器、交换机等终端设备，这些终端位于不同的物理位置，并且有不同的用途，不同的用户操作。用户的安全意识薄弱、网络安全防范措施不及时，技术实施不到位或恶意攻击造成损失的发生。高校校园网络常见的安全威胁主要有以下几个方面：

1.1 終端系统漏洞

入侵者攻击校园网主要是利用软件或攻击代码对网络软件或硬件的安全漏洞加以攻击，获得相应权限后，非法获取目标主机的资源， 也可能会在控制目标主机后，以其为跳板（ 俗称肉鸡） ， 对其他计算机或网络实施攻击和非法访问并隐藏真实身份。

1.2 计算机病毒肆虐

校园网站各单位基于WEB 的业务管理系统等代码漏洞。校园网络上运行着大量的网站和众多的业务管理系统，对校内和校外提供丰富多彩的工作、 学习和娱乐等内容，但这些站点的代码在编写过程中，存在很多不严谨的地方。校园网中的可移动存储设备的使用、下载程序、发电子邮件、浏览网页，甚至是即时通讯有可能导致下载和传播病毒。大量的病毒传播，不仅占用网络资源，使网络效率下降，而且还破坏网络设备，服务器或独立，并最终影响到整个学校的网络系统的正常运行，严重的还会引起校园网络的瘫痪。

1.3 黑客类恶意入侵行为

外部用户经常会实施对校园网络的恶意入侵，发起对校园网络核心设备（如服务器、路由器等）的攻击，窃取服务器上的重要信息，特别是一些重要业务系统服务器。而校园网内部用户对网络的结构和应用模式通常比较了解，部分用户（ 如学生） 出于对网络的好奇和实践的欲望， 经常会用学习到的各种方法，非法攻击校园网络核心设备及应用系统，也有的是为了获得一些机密数据（如期末考试题），严重影响校园网络的安全稳定运行和校园管理秩序。目前，任何人在互联网上均可自由下载黑客类工具，且种类繁多、功能丰富、设置简单、使用方便、破坏力大，一个完全不懂技术的普通攻击者都可以利用相应的工具软件成为一个对校园网络系统造成巨大危害的黑客。

2 高校校园网络管理存在的问题

（1）当前高校校园网络的建设存在重规模轻安全的误区。一些高校，多年来主要精力集中在了校园网的建设，扩大和网络安全意识的重视程度不够，没有架构有效的网络安全防御系统。（2）网络用户安全防范意识薄弱， 缺乏足够的网络安全防御技术和能力。大部分学校校园网络用户的网络安全防范意识淡薄，认为网络的安全防范不是自己承担的责任，而是网管人员的责任；另外，除少数的计算机专业教师或学生外，大部分网络用户都不具备基本的网络安全常识和网络安全防御技术。（3） 大学网络安全管理人员缺乏。大多数的许多高校现有的网络管理人员，从事网络安全技术和缺乏经验，难以应付复杂的网络环境中，缺乏经验和能力，处理突发的网络安全事件的管理。一些网络管理员通常是不够的努力，投入的安全性问题研究，安全管理是不正确的轨道上。（4）网络道德教育严重滞后的问题日益严重。恶意利用网络资源，浏览黄色网页，接受不良信息的发布，大学生在网络犯罪有上升的趋势。

3 保障高校校园网络安全的策略

3.1 配置安全的系统服务器平台

安全的系统服务器是网络安全的基点，利用系统本地安全策略构建一个相对安全的防护林，对于校园网来说至关重要。具体措施包括：设置禁用，构建第一道防线；设置IIS，构建第二道防线；运用扫描程序，堵住安全漏洞；封锁端口，全面构建防线。

3.2 网络安全管理规范

（1）建立并严格执行规则和条例。高校网络安全问题发生的经理层，完善的管理制度有很大的关系，因此，管理人员必须提高管理水平，建立和完善各项管理制度，并不断创造新的管理方法，严格按照安全管理制度，规范操作，避免信息丢失。

（2）应急响应。发现了一种新的病毒，或者是因为系统中的安全威胁的网络安全漏洞，安全的网络及时发送到用户的安全注意事项，并提供各种补丁下载。此外，做好的计算机系统，网络，应用软件，以及各种信息和数据备份，并创建一个备份的数据库系统。

3.3 技术保证

目前，网络安全的技术主要包括杀毒软件、防火墙技术、身份验证、存取控制、数据的完整性控制和安全协议等内容。技术保证包括以下一些技术措施。

（1）访问控制是网络安全防范和保护的最主要措施之一，其主要任务是保证网络资源不被非法使用和非法访问。用户的入网访问控制采用用户口令的识别与验证，以保证其唯一性。（2）防火墙是校园网信息安全保障的核心点。通过部署防火墙，实施严格的数据流监控，同时在防火墙和服务系统上做较为详细的日志记录，为安全事件的事后取证工作提供依据。

参考文献

[1] 马强.基于群联动策略的安全技术模型的研究[J]. 清远职业技术学院学报. 2009（06）.

[2] 朱智谋.新时期高校网络安全问题分析与防范对策[J]. 教育教学论坛. 2011（15）.

[3] 马强.基于群联动策略的安全技术模型的研究[J]. 清远职业技术学院学报. 2009（06） .

[4] 朱智谋.新时期高校网络安全问题分析与防范对策[J]. 教育教学论坛. 2011（15） .

校园网安全问题研究与策略 篇12

1 常见校园网安全问题

任何计算机网络, 只要运行就可能面临安全性威胁, 校园网也不例外。既可能来自校园内部, 又可能来自校园外部, 主要有以下几种。

1.1“黑客”行为安全威胁

由于网络的开放性及技术的公开性, 一些人出于好奇心, 蓄意破坏和为了使自己获得某种非法利益等目的.利用网络协议, 服务器和操作系统的安全漏洞以及管理上的疏漏非法访问资源、删改数据、破坏系统。

1.2 数据泄露

校园网上运行各种数据库系统, 如教学管理系统、学生成绩管理系统、校园卡管理系统、试题库等。由于安全措施不当, 使这些数据库的口令被泄露, 数据被非法取出和复制, 造成信息的泄露, 严重时可导致数据被非法删改。

1.3 病毒攻击

计算机病毒程序有着巨大的破坏性, 其危害已被人们所认识。尤其是通过网络传播的病毒, 无论是在传播速度, 破坏性和传播范围等方面都是单机病毒所不能比拟的。如当今最流行的螟虫病毒, 通过电子邮件, 网络共享或主动扫描等方式从客户端感染校园网的web服务器, 改变网页的目录以繁衍自身, 井通过发送垃圾邮件和扫描网络, 导致网络的服务器“拒绝服务”, 严重时会造成网络瘫痪。因此, 计算病毒也是网络安全的主要威胁。

1.4 操作系统安全漏洞

对网络安全构成了威胁。网络服务器安装的操作系统有windows NT/2000、Unix等, 这些系统安全风险级别不同, 例如windows NT/2000的普遍性和可操作性使它成为最不安全的系统。如自身安全漏洞、浏览器的漏洞、HS的漏洞、病毒的漏洞等。

1.5 管理欠缺

校园网上的安全威胁也来自管理意识的欠缺。管理机构的不健全, 管理制度的不完善和管理技术的不先进等管理因素。为此, 本文全面研究了绑定更新的鉴定协议, 并针对这些不同协议的漏洞提出了修改模型。

2 校园网安全策略

在计算机网络日益扩展和普及的今天, 计算机安全的要求更高, 涉及面更广。不但要求防治病毒, 还要提高系统抵抗外来非法黑客入侵的能力, 还要提高对远程数据传输的保密性, 避免在传输途中遭受非法窃取。

2.1 网络病毒的防御

在防治网络病毒方面, 接受不明电子邮件, 下载软件如:.zip.exe等文件过程中应特别加以注意。都有潜伏病毒的可能性。对于系统本身安全性, 主要考虑服务器自身稳定性, 增强自身抵抗能力, 杜绝一切可能让黑客入侵的渠道, 避免造成对系统的威胁。对重要系统, 必须加上防火墙和数据加密技术加以保护。

2.2 w e b服务器安全预防措施

对在web服务器上开的帐号, 在口令长度及定期更改方面做出要求, 防止被盗用。

在web服务器上去掉一些绝对不用的shell等之类解释器, 即当在你的CGI的程序中没用到perl时, 就尽量把perl在系统解释器中删除掉。

设置好web服务器上系统文件的权限和属性, 对可让人访问的文档分配一个公用的组。如:www, 并只分配它只读的权利。把所有的HTML文件归属WWW组, 由WEB管理员管理WWW组。对于WEB的配置文件仅对WEB管理员有写的权利。

2.3 在网络操作系统安全预防措施

尽量使ftp, mail等服务器与之分开, 去掉f t p, s en dma il, tf tp, NI S, N FS, f in ge r, netstat等一些无关的应用。

定期查看服务器中的日志logs文件, 分析一切可疑事件。在errorlog中出现rm, l o g i n, /b i n/p e r l, /b i n/s h等之类记录时, 服务器可能有受到一些非法用户的入侵的尝试。

网络管理员要及时安装网络OS补丁程序。如windows2000有IIS的漏洞, 需要安装补丁程序sp1、sp2。

2.4 利用防火墙增强网络的安全性和可管理性

当一个网络接上Internet之后, 系统的安全除了考虑计算机病毒、系统的稳定之外, 更主要的是防止非法用户的入侵。而目前防止的措施主要是靠防火墙的技术完成。

2.5 VLAN技术应用

2.6 虚拟专用网技术

虚拟专用网 (Virtual Private Network, VPN) 是近年来随着Internet的发展而迅速发展起来的一种技术。虚拟专用网实际上就是将Internet看作一种公有数据网, 这种公有网和PSTN网在数据传输上没有本质的区别, 从用户观点来看, 数据都被正确传送到了目的地。相对地, 企业在这种公共数据网上建立的用以传输企业内部信息的网络被称为私有网。

目前VPN主要采用四项技术来保证安全, 这四项技术分别是隧道技术 (Tunneling) 、加解密技术 (Encryption&Decryption) 、密钥管理技术 (Key Management) 、使用者与设备身份认证技术 (Authentication) 。

3 结语

随着校园网应用的越来越广泛, 网络安全的问题也日益严重。安全问题也变成了校园网的热点和难点问题, 因此如何解决在校园网中存在安全和潜在威胁是本文研究的首要任务。高校应当给予足够的重视, 在资金、人员配备、设备更新等方面给予大力支持, 通过校园网维护人员和广大师生的努力, 共同做好校园网的安全管理工作, 建设一个安全、可靠的校园网络环境。

参考文献

[1]袁家政.计算机网络安全与应用技术[M].北京:清华大学出版社, 2004.

[2]杨辉, 吴昊.防火墙·网络安全解决方案[J].国防工业出版社, 2005.